WhatsApp illegal?

Von Franz J Heidinger / Laurin Maran – Georg ist frustriert. Er ist ein Mensch, der nie ohne Ticket U-Bahn fährt, an jeder roten Ampel stehen bleibt und die grünen Flaschen in den Container für die grünen Flaschen wirft. Kurzum, Georg ist ein Mensch, der sich an Gesetze hält. Und da Georg sich auch in Zukunft an die Gesetze halten will, muss er heute noch 189 Menschen um eine Unterschrift bitten. Darunter seinen Friseur, seine Exfreundin Tina und einen Richard123, von dem er gar nicht genau weiß, wer das eigentlich ist.

Das Amtsgericht Bad Hersfeld (Deutschland) hat Georg dieses Schlamassel eingebrockt. Dies hat nämlich mit Beschluss vom 15.05.2017 festgestellt, dass ein WhatsApp-Nutzer von jeder Person, die er in seinem Handy gespeichert hat, eine Erlaubnis einholen muss. Wer den Nachrichtendienst nutzen will, muss nämlich zuvor einwilligen, dass die App auf die gespeicherten Kontakte zugreifen kann. Die Daten im Adressbuch werden dann automatisch an den Mutterkonzern Facebook übermittelt und mit anderen Nutzer abgeglichen. Was jedoch technisch nötig ist, ist rechtlich verboten.

„Wer durch seine Nutzung von „WhatsApp“ diese andauernde Datenweitergabe zulässt, ohne zuvor von seinen Kontaktpersonen aus dem eigenen Telefon-Adressbuch hierfür jeweils eine Erlaubnis eingeholt zu haben, begeht gegenüber diesen Personen eine deliktische Handlung und begibt sich in die Gefahr, von den betroffenen Personen kostenpflichtig abgemahnt zu werden.“ (AG Bad Hersfeld, 15.05.2017 – F 120/17 EASO, Leitsatz 5)

„Kostenpflichtig abgemahnt zu werden“ klingt wie eine Einladung an die Gattung von Rechtsanwälten, die ihr Geld gewöhnlich damit verdienen, den kleinen Timmy abzumahnen, weil er sich das neuste Lied von Tokio Hotel heruntergeladen hat. Für alle anderen klingt es wie das, was es ist: Eine Drohung.

Laut Gericht ist somit von jeder Person, deren Nummer man gespeichert hat, eine schriftliche Einverständniserklärung einzuholen. Sollte dies nicht gelingen, werden drei Lösungen angeboten, wie WhatsApp-Nutzer trotzdem wieder auf den Pfad der Rechtschaffenheit gelangen können:

  1. Möglichkeit: Alle Kontakte vom Handy löschen.
  2. Möglichkeit: Die App daran hindern, auf das Adressbuch zuzugreifen.
  3. Möglichkeit: WhatsApp löschen.

Sollte man herausgefunden haben, wie die 2. Möglichkeit funktioniert, hat dies den nicht unerheblichen Nebeneffekt, dass anstelle der Namen nurmehr die Telefonnummern aufscheinen. Somit führen alle Tipps des Gerichts zum selben Ergebnis: WhatsApp wird völlig unbrauchbar.

Eine Lösung aus dieser Bredouille bietet die ab Mai 2018 geltende Datenschutzgrundverordnung. In Art 2 Abs 2 lit c EU-DSGVO findet das Datenschutzgesetz keine Anwendung auf die Verarbeitung personenbezogener Daten durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten. Georg hat somit Glück, wenn er sein Handy ausschließlich für private Zwecke nutzt.

Handlungsbedarf besteht allerdings bei solchen Personen, die ihr Handy sowohl privat als auch geschäftlich nutzen und WhatsApp installiert haben. In diesen Fällen liegt eine eindeutige Verletzung des Datenschutzgesetzes vor. Selbst wenn das Handy grundsätzlich nur privat genutzt wird, allerdings auch Kontaktdaten von Kollegen, Mitarbeitern oder Geschäftspartnern gespeichert werden, kann von keiner ausschließlichen persönlichen Nutzung mehr gesprochen werden. Die Behörde kann in solchen Fällen Geldbußen verhängen und die im Handy gespeicherten Personen haben unter Umständen einen Anspruch auf Schadenersatz.

Unternehmen, die ihre Mitarbeiter mit Firmenhandys ausstatten, sollten daher dringend darauf achten, die Nutzung von WhatsApp mit diesen Geräten strikt zu untersagen.

Eine Frage muss hingegen offen bleiben: Wer ist eigentlich dieser Richard123

Zulässigkeit der Datenverarbeitung (Teil 1): Die Einwilligung der betroffenen Person

Von Franz J. Heidinger / Laurin Maran – Die entscheidende Frage im datenschutzrechtlichen Kontext ist die nach der Zulässigkeit der Verarbeitung personenbezogener Daten. Die EU-DSGVO bringt diesbezüglich keine überraschende Neuerung im Vergleich zur aktuellen Rechtslage, ein paar zusätzliche Bestimmungen gibt es allerdings schon.

Das europäische Datenschutzregime basiert auf dem Grundsatz „Verbot mit Erlaubnisvorbehalt“. Das bedeutet, dass die Verarbeitung personenbezogener Daten nur dann rechtmäßig ist, wenn mindestens eine der in Art. 6 Abs 1 EU-DSGVO aufgezählten Bedingungen erfüllt ist. Die Bedingungen sind die Folgenden:

  1. Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehreren bestimmte Zwecke gegeben.
  2. Die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen.
  3. Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt.
  4. Die Verarbeitung ist erforderlich, um lebenswichtige Interessen einer natürlichen Person zu schützen.
  5. Die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde.
  6. Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte der betroffenen Person überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

20160919_141430.jpg

Die Einwilligung

Die Verarbeitung ist also grundsätzlich verboten, es sei denn, die betroffene Person willigt in die Verwendung ihrer personenbezogenen Daten ein. Dieser Erlaubnisgrund ist wohl die meist gebrauchte Rechtsgrundlage für die Datenverarbeitung. Der Begriff der Einwilligung wird in der EU-DSGVO in Art. 4 wie folgt definiert:

Die Einwilligung der betroffenen Person ist jede freiwillige für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden Personenbezogenen Daten einverstanden ist.

Diese Erklärung kann etwa durch das Anklicken eines Kästchens beim Besuch einer Internetseite oder durch die Auswahl technischer Einstellungen für Dienste der Informationsgesellschaft geschehen. Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit der betroffenen Person sind keine gültigen Einwilligungen. Die betroffene Person muss also in Kenntnis darüber, zu welchen Zwecken seine Daten verarbeitet werden, selbst und freiwillig aktiv werden.

Gemäß Art 7 Abs 1 EU-DSGVO muss der für die Verarbeitung Verantwortliche nachweisen können, dass die  betroffene Person in die Verarbeitung ihrer Daten eingewilligt hat. Unternehmen haben somit eine Protokollierungspflicht und müssen Einwilligungen bei Bedarf dokumentieren können.

Der Begriff Einwilligung in „informierter Weise“ wird in Art 7 Abs 2 weiter konkretisiert. Erfolgt diese nämlich durch eine schriftliche Erklärung, die noch andere Sachverhalte betrifft, so muss das Ersuchen um die Einwilligung in verständlicher und leicht zugänglicher Form sowie in einer klaren und einfachen Sprache erfolgen, und zwar so, dass es von anderen Sachverhalten eindeutig zu unterscheiden ist. Die betroffene Person muss also klar erkennen können, in was sie einwilligt, und zwar ohne davor ein datenschutzrechtliches Studium absolvieren zu müssen.

„Freiwillig“ ist eine Einwilligung nur dann, wenn sie sich nur auf Daten bezieht, die der Verarbeiter für die konkrete Vertragserfüllung benötigt. Lässt sich der Verarbeiter jedoch mit derselben Einwilligung auch die Verarbeitung von Daten erlauben, die für die Vertragserfüllung nicht benötigt werden, spricht das gegen die Freiwilligkeit. Somit gibt es ab 2018 ein sogenanntes Kopplungsverbot.

Beispiel für ein Kopplungsverbot:

Eine Bildbearbeitungs-App fürs Smartphone nimmt sich in seinen Datenschutzbestimmungen das Recht heraus, auf das Telefonbuch des Nutzers, auf die Nutzungsdauer des Handys und auf seine Standortdaten zuzugreifen. Dies sind eindeutig Daten, die nicht zur Bearbeitung von Fotos benötigt werden. Möchte der Nutzer die App jedoch nutzen, muss er den Zugriff vollumfänglich erlauben. Diese Datenschutzbestimmungen widersprechen den Kopplungsverbot und wären gemäß der EU-DSGVO rechtswidrig.

Einwilligung bei Kindern

Artikel 8 behandelt die Bedingungen für die Einwilligung von Kindern im Bezug auf Dienste der Informationsgesellschaft: Eine Person unter 16 Jahren ist nicht fähig, eine gültige Einwilligung zur Verarbeitung von personenbezogenen Daten zu geben. Für Kinder unter 16 Jahren muss die Einwilligung also von den Eltern gegeben werden. Von dieser Altersgrenze kann zwar jeder Mitgliedsstaat mit eigenen Regelungen abweichen, allerdings müssen Kinder mindestens das 13. Lebensjahr vollendet haben.

Wie die für die Datenverarbeitung verantwortlichen Personen diese Regelungen umsetzen sollen, wird im Gesetz nicht beschrieben und wird wohl mit erheblichen Problemen verbunden sein. Mit einem „mit Anklicken des Kästchen bestätige ich, dass ich über 16 Jahre alt bin“ wird es wohl nicht getan sein.

Ein weiteres Problem werden die unterschiedlichen Regelungen bezüglich der Altersgrenze in Europa aufwerfen. Gerade bei der Datenverarbeitung im Internet, das sich bekanntlich nicht an Ländergrenzen hält, werden die verschiedenen Altersgrenzen zur Einwilligungsfähigkeit erhebliche Schwierigkeiten bringen. Man stelle sich vor, die Altersgrenze in Österreich bleibt bei 16 Jahren, in Deutschland wird sie auf 15 Jahre gesenkt und der ungarische Gesetzgeber ist der Meinung, schon mit 13 Jahren könne man eine Einwilligung geben. Ein Betreiber einer Handy-App, dessen Datenverarbeitung auf der Einwilligung beruht, müsste nun für jeden Mitgliedsstaat individuelle Schutzmechanismen entwickeln. Mit einer Harmonisierung des europäischen Datenschutzrechts hat das nicht mehr viel zu tun.

Handlungsbedarf für Unternehmen

Unternehmen sollten jetzt ihre Datenschutzbestimmungen und Zustimmungserklärungen dahingehend überprüfen, ob sie den Regelungen der EU-DSGVO entsprechen. Sollte dies nicht der Fall sein, müssen sie bis zum 25. Mai 2018 überarbeitet und angepasst werden.

Falls nicht schon vorhanden muss eine Infrastruktur geschaffen werden, um abgegebene Einwilligungen individuell nachweisen zu können.

Sollten unter den Kunden auch Personen unter 16 Jahren sein, werden gegebene Einwilligungen ab 2018 wohl unwirksam sein und müssten dann neu eingeholt werden.

In Anbetracht der Strafdrohungen in Höhe von bis zu 20 Millionen Euro für Verstöße gegen die EU-DSGVO sollte unter Umständen die Beiziehung professioneller Unterstützung in Betracht gezogen werden.